"Microsoft" rekomendacijos, kaip taikyti saugiosios įkrovos DBX naujinimą (KB4575994)

DBX naujinimo taikymas sistemoje "Windows"

Perskaitę ankstesniame skyriuje nurodytus įspėjimus ir patikrinę, ar jūsų įrenginys suderinamas, atlikite šiuos veiksmus, kad atnaujintumėte saugiosios įkrovos DBX:

1. Iš šio UEFI tinklalapio atsisiųskite tinkamą savo platformai skirtą UEFI atšaukimo sąrašo failą (Dbxupdate.bin).

2. Turite išskaidyti Dbxupdate.bin failą į reikiamus komponentus, kad galėtumėte juos taikyti naudodami "PowerShell" cmdlet. Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.

   1. Atsisiųskite "PowerShell" scenarijų iš šio "PowerShell" galerijos tinklalapio.

   2. Norėdami rasti scenarijų, vykdykite šią cmdlet:

      • Get-InstalledScript -name SplitDbxContent | select-object Name, Version, Author, PublishedDate, InstalledDate, InstalledLocation

   3. Patikrinkite, ar "cmdlet" sėkmingai atsisiunčia scenarijų ir pateikia išvesties informaciją, įskaitant Pavadinimą, Versiją, Autorių, PublishedDate, InstalledDate ir InstalledLocation.

   4. Vykdykite šias "cmdlet" komandas:

      • [eilutė]$ScriptPath= @(Get-InstalledScript -name SplitDbxContent | select-object -ExpandProperty InstalledLocation)

      • cd $ScriptPath

      • Ls

   5. Patikrinkite, ar SplitDbxContent.ps1 failas dabar yra aplanke Scenarijai.

   6. Paleiskite šį "PowerShell" scenarijų dbxupdate.bin faile:
      
         SplitDbxContent.ps1 “c:\path\to\file\dbxupdate.bin"

   7. Patikrinkite, ar komanda sukūrė šiuos failus.

      

      • Content.bin – naujinimo turinys

      • Signature.p7 – parašas, patvirtinantis naujinimo procesą

3. Administravimo "PowerShell" seanse vykdykite Set-SecureBootUefi cmdlet, kad pritaikytumėte DBX naujinimą:
   
   Set-SecureBootUefi -Name dbx -ContentFilePath .\content.bin -SignedFilePath .\signature.p7 -Time 2010-03-06T19:17:21Z -AppendWrite
   
   Numatoma išvesties
   
   

4. Norėdami baigti naujinimo diegimo procesą, iš naujo paleiskite įrenginį.

Daugiau informacijos apie saugaus paleidimo konfigūracijos cmdlet ir kaip ją naudoti DBX naujinimams, žr. Saugusis nustatymas.

Patikrinimas, ar naujinimas pavyko  

Sėkmingai atlikę ankstesniame skyriuje nurodytus veiksmus ir iš naujo paleidę įrenginį, atlikite šiuos veiksmus, kad patvirtintumėte, jog naujinimas buvo sėkmingai pritaikytas. Sėkmingai patikrinus, JŪSŲ įrenginiui nebeveiks GRUB pažeidžiamumas.

1. Atsisiųskite DBX naujinimo tikrinimo scenarijus iš šio "GitHub Gist" tinklalapio.

2. Išskleiskite scenarijus ir dvejetainius failus iš suglaudinto failo.

3. Vykdykite šį "PowerShell" scenarijų aplanke, kuriame yra išplėstiniai scenarijai ir dvejetainiai failai, kad patikrintumėte DBX naujinimą:
   
   Check-Dbx.ps1 '.\dbx-2021-April.bin' 

   Pastaba. Jei buvo pritaikytas DBX naujinimas, kuris atitinka 2020 m. liepos mėn. arba 2020 m. spalio mėn. versijas iš šio atšauktųjų sąrašo failų archyvo , vykdykite šią atitinkamą komandą:
   
   Check-Dbx.ps1 '.\dbx-2020-July.bin' 

   Check-Dbx.ps1 .\dbx-2020-October.bin 

4. Patikrinkite, ar išvestis atitinka numatomą rezultatą.
   
   

DUK

1 k. Ką reiškia klaidos pranešimas "Get-SecureBootUEFI: "Cmdlet" nepalaikomos šioje platformoje"?

A1: Šis klaidos pranešimas nurodo, kad kompiuteryje neįgalinta JOKIA saugiosios įkrovos funkcija. Todėl GRUB pažeidžiamumas neturi įtakos šiam įrenginiui. Tolesnių veiksmų imtis nereikia.

2 k. Kaip sukonfigūruoti įrenginį, kad jis būtų patikimas arba nepatikimas trečiosios šalies UEFI CA? 

A2: Rekomenduojame kreiptis į OĮG tiekėją. 

Jei naudojate "Microsoft Surface", pakeiskite saugiosios įkrovos parametrą į "Microsoft Only", tada vykdykite šią "PowerShell" komandą (rezultatas turėtų būti "False"): 

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Corporation UEFI CA 2011' 

Daugiau informacijos apie tai, kaip konfigūruoti "Microsoft Surface", žr. "Surface" UEFI parametrų valdymas – "Surface" | "Microsoft Docs".

3 k. Ar ši problema turi įtakos "Azure IaaS" 1 ir 2 kartos virtualioms mašinoms? 

A3: Ne. "Azure" svečio virtualiosios mašinos Gen1 ir Gen2 nepalaiko saugiosios įkrovos funkcijos. Todėl jiems įtakos neturi pasitikėjimo atakos grandinė. 

4 kl.: Ar ADV200011 ir CVE-2020-0689 nurodo tą patį pažeidžiamumą, susijusį su saugia įkrova? 

A: Ne. Šie saugos patarimai apibūdina skirtingus pažeidžiamumus. "ADV200011" nurodo GRUB ("Linux" komponento) pažeidžiamumą, dėl kurio gali kilti saugiosios įkrovos apėjimo priežastis. "CVE-2020-0689" nurodo saugos funkcijos apėjimo pažeidžiamumą, kuris yra saugiojoje įkrovoje. 

5 k. Negaliu paleisti nė vienas iš "PowerShell" scenarijų. Ką turėčiau daryti?

A: Patikrinkite "PowerShell" vykdymo strategiją vykdydami komandą Get-ExecutionPolicy . Atsižvelgiant į išvestį, gali tekti atnaujinti vykdymo strategiją:

• Set-ExecutionPolicy (Microsoft.PowerShell.Security) - PowerShell | "Microsoft Docs"